Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\Off OTv1GujOoCxo1a\310714_br.exe'
- '%TEMP%\Off OTv1GujOoCxo1a\271014_nj.exe'
- '%TEMP%\Off OTv1GujOoCxo1a\310714_o.exe'
- '%TEMP%\Off OTv1GujOoCxo1a\271014_nj.exe' (загружен из сети Интернет)
- '%TEMP%\Off OTv1GujOoCxo1a\310714_o.exe' (загружен из сети Интернет)
- '%TEMP%\Off OTv1GujOoCxo1a\310714_br.exe' (загружен из сети Интернет)
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\Off OTv1GujOoCxo1a\310714_br.exe
- %TEMP%\Off OTv1GujOoCxo1a\271014_nj.exe
- %TEMP%\nsj2.tmp
- %TEMP%\Off OTv1GujOoCxo1a\310714_o.exe
Сетевая активность:
Подключается к:
- 'localhost':1041
- 'www.no##ake.me':80
- 'www.fi##treq.me':80
- 'www.2n###quest.me':80
TCP:
Запросы HTTP GET:
- www.2n###quest.me/310714d/271014_nj.exe?rn#######
- www.no##ake.me/8HiaohS9X
- www.fi##treq.me/310714d/310714_o.exe
- www.2n###quest.me/310714d/310714_br.exe?rn#######
UDP:
- DNS ASK www.no##ake.me
- DNS ASK www.2n###quest.me
- DNS ASK www.fi##treq.me
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
